Chrome Sync 是一種瀏覽器功能，旨在在用戶使用 Google 帳戶登錄后自動同步其書簽、歷史記錄、密碼和其他設(shè)置。安全顧問 Bojan Zdrnja 近日發(fā)現(xiàn)，Google Chrome Sync 功能可以被濫用，使用惡意制作的 Chrome 瀏覽器擴(kuò)展程序即可從受影響的計算機(jī)中收集信息，并將竊取的數(shù)據(jù)傳送至攻擊者的服務(wù)器中。

繞過 Chrome Web Store 安全檢查

盡管惡意 Chrome 擴(kuò)展程序數(shù)不勝數(shù)，但 Google 每年都會審核 Chrome Web Store，并將惡意擴(kuò)展從商店中刪除，但此次發(fā)現(xiàn)的惡意擴(kuò)展由于部署方式的不同，因此十分特別。

攻擊者的惡意擴(kuò)展被偽裝為 Windows 的 Forcepoint Endpoint Chrome 擴(kuò)展，并在啟用開發(fā)者模式后直接從 Chrome 安裝(繞過 Chrome Web Store 安裝通道)。

安裝后，該擴(kuò)展程序會刪除一個后臺腳本，該腳本旨在檢查 Chrome 存儲中的 oauth_token 密鑰，然后將其自動同步到用戶的 Google 云存儲中。

要訪問已同步的敏感數(shù)據(jù)，攻擊者只需在運(yùn)行 Chrome 瀏覽器的另一個系統(tǒng)上登錄同一 Google 帳戶(現(xiàn)在不允許第三方基于 Chromium 的瀏覽器使用私有的 Google Chrome Sync API)。這將使攻擊者通過濫用 Google 的基礎(chǔ)架構(gòu)與受害者的 Chrome 瀏覽器進(jìn)行通信 。

盡管 Google 在數(shù)據(jù)大小和請求數(shù)量上有一些限制，但這實際上非常適合C&C命令(通常數(shù)據(jù)量很小)或竊取較小但敏感的數(shù)據(jù)(例如身份驗證令牌)。

該擴(kuò)展程序?qū)⒐糁攸c(diǎn)放在操縱 Web 應(yīng)用程序數(shù)據(jù)上，并未試圖將其惡意活動擴(kuò)展到 Chrome 基礎(chǔ)系統(tǒng)。對于這種行為，安全顧問 Bojan Zdrnja 解釋道：“盡管他們還想進(jìn)一步擴(kuò)展訪問權(quán)限，但實際上他們只將惡意擴(kuò)展的活動限制為與 Web 應(yīng)用程序有關(guān)的活動。因為現(xiàn)在幾乎所有內(nèi)容都可以通過Web 應(yīng)用程序進(jìn)行管理，無論是內(nèi)部 CRM、文檔管理系統(tǒng)、訪問權(quán)限管理系統(tǒng)還是其他。這也能解釋為什么他們只開發(fā)了惡意的 Chrome 擴(kuò)展程序，而沒開發(fā)任何其他形式的惡意軟件。”

對于已經(jīng)受到影響的用戶，要通過網(wǎng)絡(luò)阻止惡意擴(kuò)展泄露數(shù)據(jù)的話，同樣也會阻止 Google 用于各種合法目的的服務(wù)器通信(例如 client4.google.com)，因此這不是防御類似攻擊的正確方法。

為了阻止攻擊者濫用 Google Chrome 瀏覽器的 Sync API 來從公司環(huán)境中收集和泄露數(shù)據(jù)，建議使用組策略來創(chuàng)建允許的 Chrome 擴(kuò)展程序列表，并阻止所有未進(jìn)行檢查的其他程序。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：惡意擴(kuò)展程序濫用 Chrome Sync 竊取用戶數(shù)據(jù)

本文地址：https://www.oschina.net/news/129289/malicious-extension-abuses-chrome-sync-to-steal-users-data